フォージビジョン Orca Security のサービスサイト がオープンしました。

こんにちは、Orca Security 担当の藤原です。
今回も、脆弱性について調べた結果を簡単にまとめてみました。
対象となる脆弱性は弊社の検証環境で検出したものから選んでおります。

自身の後学と備忘のためウェブ検索しながらまとめたものになりますが、ご参考になれば幸いです。

対象

CVE-2024-0567

概要

GnuTLSを使用する Cockpit が分散信頼の証明書チェーンを拒否する可能性がある。

どんな問題なのか

まず、GnuTLSは、TLS/SSLプロトコルの実装を提供するソフトウェアライブラリです。
上記を使用する Cockpit にあるコンポーネントである、cockpit-certificate-ensure を使用して証明書チェーンを検証するときに誤動作を起こす可能性があります。
この問題が悪用されると、LS/SSL接続の拒否を発生させたり、サービス拒否 (DoS) 攻撃を受ける可能性があります。

まとめると以下のような被害を受ける可能性があります。
* TLS/SSL接続が拒否され、サービスが停止。
* 不正な証明書を使用した Dos 攻撃。
* CPUリソースの過剰な消費。

対策

対策として以下が考えられます。
* GnuTLS 3.8.3 以降にアップデート
* cockpit 253 以降にアップデート

参考情報

• CVE-2024-0567 - NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-0567
• GnuTLS Security Advisory 2024-01-09: https://vuldb.com/?id.250826

さいごに

拝見いただいた方にも調べた際に参照した情報を確認いただけるよう、今回から参考情報の項目を追加しました。
さいごまでご覧いただきありがとうございます。